访问控制技术在企业应用安全中具有重要的意义。然而,传统的访问控制模型却难以满足复杂的企业环境需求。90年代以来,RBAC(Role-Based AccessControl)模型理论得到了深入的研究并运用于现实系统,它实现了用户与访问权限的逻辑分离,借助于角色这个主体,用户通过角色访问资源,大大减少了授权管理的复杂性,而且还能为管理员提供一个比较好的管理环境。但是,当前企业人员流动大、组织结构复杂,由此导致权限分配不灵活、维护成本高等弊端,为了解决这些问题必须在系统开发的理论和实践技术上有所改进。因此,对现有的RBAC模型进行必要的改进和扩展具有重要的理论和实际意义。本文所做的主要工作体现在:1)首先介绍了三种访问控制策略:强制访问控制(MAC)、自主访问控制(DAC)和基于角色的访问控制(RBAC)等三种访问控制技术,重点介绍和分析了RBAC技术的概念和它的优缺点。2)结合目前企业的管理现状和RBAC基本模型所存在的不足提出了相应的解决方案,分别从以下三点对RBAC基本模型进行扩展:一,引入了用户组的概念,对用户进行分组;二,引入对部门的授权,减少授权操作;三,直接对用户赋予相应权限,为适应临时权限的分配。从而扩展出了一种新的访问控制模型,并对该模型的结构、原则、访问机制以及特点等进行了分析。3)为了系统的实现,本文还就系统开发中所运用的技术进行了展开,分别介绍了目前成熟的MVC模式、Struts和Hibernate框架,最后分析了Hibernate与Struts结合应用的体系结构。4)在实践上,本文通过运用扩展后的模型,以及结合Struts和Hibernate框架技术,开发了一套基于扩展RBAC模型的权限管理系统,最后以技术交流平台为分析实例,让此权限管理系统的扩展性得到了很好的体现。本文对扩展RBAC模型的分析、设计与实现表明,扩展后的基于角色的访问控制模型在大型企业信息管理系统的应用中,具有安全性高、访问控制更严格以及降低开发和维护成本等优点,有着良好的应用前景。